Hello all,
Doresc sa pun un senzor care sa monitorizeze traficul din lan (dezvoltatorii
nostrii fac diverse teste care in unele situatii afecteaza reteaua). Pentru
asta am pus un snort-2.8.2.1 compilat cu suport de mysql pe masina mea.
Problema este ca nu logeaza deloc traficul icmp (vad ca pe tcp si udp da
alerte, dar pe icmp nu logeaza absolut nimic). Cum fac sa-i spun sa
activeze/logeze si alertele pentru icmp?
Am verificat asta cu un ping -f de pe o statie din lan catre statia care are
snortul instalat, dar nimic.
in /etc/snort/snort.conf am:
var HOME_NET any
var EXTERNAL_NET any
include $RULE_PATH/icmp.rules
si am lasat comentata linia
# include $RULE_PATH/icmp-info.rules
Cind pornesc snortul, vad asa:
[EMAIL PROTECTED] ~]# snort -c /etc/snort/snort.conf
...
Stream5 global config:
Track TCP sessions: ACTIVE
Max TCP sessions: 8192
Memcap (for reassembly packet storage): 8388608
Track UDP sessions: INACTIVE
Track ICMP sessions: INACTIVE
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
E normal sa vad Track ICMP sessions: INACTIVE? Aceiasi intrebare si pentru UDP
(desi in snort, vad ca am ceva alerte pe UDP)?
...
Portscan Detection Config:
Detect Protocols: TCP UDP ICMP IP
Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan
Sensitivity Level: Low
Memcap (in bytes): 10000000
Number of Nodes: 36900
...
+-------------------[Rule Port Counts]---------------------------------------
| tcp udp icmp ip
| src 796 9 0 0
| dst 5682 389 0 0
| any 179 114 39 11
| nc 17 7 14 8
| s+d 3 3 0 0
+----------------------------------------------------------------------------
Regards,
Alx
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
